BRATISLAVA. Všeobecná zdravotná poisťovňa (VšZP) oficiálne potvrdila, že v piatok 24. januára sa stala obeťou cieleného DoS útoku. Údajným zámerom neznámych hackerov bolo „narušenie IT infraštruktúry, dát a služieb“.
„K porovnateľne významnému útoku v histórii poisťovne ešte nedošlo,“ uviedla poisťovňa. Potvrdila, že udalosť podľa platnej legislatívy spadá do kategórie závažných kybernetických útokov. Splnila si preto povinnosť informovať všetky príslušné inštitúcie. Medzi ne patrí napríklad Národný bezpečnostný úrad (NBÚ).
Premiér Robert Fico a minister zdravotníctva Kamil Šaško na piatkovom mimoriadnom brífingu tvrdili, že išlo o „masívny“ kybernetický útok: „Tento útok spočíval v obrovskom množstve pokusov získavať z informačných zdrojov Všeobecnej zdravotnej poisťovne citlivé informácie, ktoré sa týkali všetkých osobných údajov, a čo je najpodstatnejšie, týkali sa všetkých diagnóz vrátane už pripravovaných alebo už zrealizovaných zákrokov, ktoré ten alebo onen pacient absolvoval.“
Fico útok dokonca označil za „súčasť učebnicového modelového príkladu, ako sa likvidujú neposlušné vlády“. Konkrétne spomenul spor s ukrajinským prezidentom Volodymyrom Zelenským a kritiku Európskej únie.
Aktuálne vyjadrenie Všeobecnej zdravotnej poisťovne však naznačuje, že rozsah útoku bol značne nafúknutý a odcudzenie dát pacientov nehrozilo.
Dočítate sa:
- čo je DoS útok a prečo nezapadá do Ficovho príbehu,
- potvrdila sa verzia, že súbežne došlo k dvom nezávislým útokom,
- nafúknutý môže byť aj rozsah útoku,
- vypátranie hackerov je takmer nemožné, no pri katastri Fico hovoril o Ukrajincoch.
Bez konkrétnych dôkazov
O „masívnom“ útoku hovoril cez víkend na sociálnych sieťach aj generálny riaditeľ VšZP Matúš Jurových. Tvrdil, že bol „omnoho vážnejší než bežná phishingová kampaň“.
Denník SME v nedeľu upozornil , že v ostatných dňoch prebiehala aj phishingová kampaň so stopami vedúcimi do Ruska, ktorá však nebola zameraná priamo na poisťovňu, no na jej klientov. Cieľom bolo odcudziť ich platobné údaje a spôsobiť im finančnú škodu. Kampaň nebola zameraná na získanie zdravotníckych dát a aktuálne už neprebieha. Falošný web VšZP, ktorý bol jej súčasťou, viac nie je dostupný.
Phishingový útok na VšZP prišiel z Ruska. Detaily štát tají, nemuselo ísť o jediný útok Čítajte DoS (Denial of Service) útok, o ktorom hovorí poisťovňa, smeroval priamo na inštitúciu. Ako vyplýva z jeho anglického názvu, jeho cieľom je odmietnutie, teda zneprístupnenie cielenej služby. Typicky ide napríklad o snahu znefunkčniť web množstvom požiadaviek (neautentických návštev), čo spôsobí jeho preťaženie a dočasné znefunkčnenie pre legitímnych návštevníkov.
Povaha DoS útoku so sebou prináša trhliny, ktoré narúšajú Ficov príbeh o ohrození dát pacientov a riziku znefunkčnenia poskytovania zdravotnej starostlivosti. Poisťovňa zároveň nezverejnila žiadne informácie, ktoré by podporili premiérove tvrdenie, že útok bol politicky motivovaný.
Masívny útok bez botnetu?
Poisťovňa nevysvetlila, akým spôsobom by mal DoS ohroziť dáta pacientov. Využitie tohto typu útoku by nedávalo zmysel ani z pohľadu hackerov. Obmedzením dostupnosti cielenej služby by totiž skomplikovali aj svoj vlastný prístup k IT infraštruktúre poisťovne.
Vo vzťahu k údajnej historickej významnosti je tiež zaujímavý fakt, že VšZP hovorí o DoS útoku, a nie o DDoS (Distributed Denial of Service) útoku.
Oba typy hackerských operácií sú principiálne rovnaké, DDoS útoky sú však zvyčajne väčšie. Typicky využívajú takzvané botnety, siete tisícok či desaťtisícov infikovaných počítačov, z ktorých hackeri na diaľku dokážu vykonávať útok na cieľ dostupný z internetu.
Skutočne masívne útoky s cieľom odstaviť cielené služby sú vykonávané práve formou DDoS, keď botnet zahltí službu v takom rozsahu, že nečakaný nárast v dátovej prevádzke nezvládajú vykompenzovať ani ochranné mechanizmy na prevenciu podobných situácií.
Bez náznaku výpadku
„V tomto momente by som rád potvrdil a ubezpečil všetkých občanov Slovenska, že nateraz poskytovanie akejkoľvek zdravotnej starostlivosti a príslušných služieb, ktoré obhospodaruje Všeobecná zdravotná poisťovňa, nie je ohrozené,“ uviedol na piatkovom brífingu minister zdravotníctva Šaško.
VšZP aktuálne potvrdila, že útok bol „efektívne zadržaný“ a neprenikol do interných systémov, vďaka čomu boli dáta poistencov ochránené: „Verejnosť uisťujeme, že kybernetické útoky neohrozili dostupnosť zdravotnej starostlivosti. Naša poisťovňa pokračuje v poskytovaní všetkých služieb bez prerušenia.“
Denník SME nezaznamenal výpadok webstránky poisťovne, ktorá bezprostredne po brífingu fungovala rýchlo a bez akýchkoľvek náznakov komplikácií. VšZP ani politici neinformovali o výpadku jedinej služby pre verejnosť, respektíve interného systému.
Napriek tomu poisťovňa hovorí o závažnom kybernetickom incidente. Jednou z podmienok pre takúto kategorizáciu kybernetického útoku je, že spôsobil alebo mohol spôsobiť závažné narušenie fungovania služby.
O žiadnom výpadku však poisťovňa neinformovala a infiltrácia jej systémov z povahy útoku nebola realistická. Denník SME preto oslovil VšZP, aby spresnila informácie o dosahu útoku na jej služby a systémy.
Poisťovňa zopakovala znenie tlačovej správy, doplnila len jednu informáciu: „Obmedzená bola komunikácia z a do prostredia VšZP, a to v zmysle interných bezpečnostných noriem a postupov.“
Z tejto formulácie nie je zrejmé, či bolo obmedzenie komunikácie spôsobené samotným útokom, alebo išlo o preventívne opatrenie na strane poisťovne.
Pokiaľ išlo skutočne o závažný kybernetický incident, do 30 dní od jeho nahlásenia NBÚ o ňom musí vzniknúť záverečná správa. Z nej bude potenciálne možné vyčítať, aký bol jeho skutočný rozsah a bližšie okolnosti.
Tentoraz žiadna ukrajinská stopa?
VšZP naznačuje, že s odhalením, kto je za útokom, nemáme počítať: „Pre tento druh kybernetických útokov je pôvodca pre nás takmer nevystopovateľný.“
Poisťovňa má pravdu. Zistiť, kto skutočne inicioval hackerský útok, je v IT oblasti veľmi zložité. Veľké bezpečnostné firmy, ktoré sa zaoberajú výskumom kybernetických operácií, strávia týždne i mesiace pátraním, kým si dovolia s určitou mierou istoty obviniť konkrétnu hackerskú skupinu alebo vládu. Porovnávajú napríklad použité techniky a postupy známe z predošlých útokov. V mnohých prípadoch si vôbec netrúfnu tvrdiť, kto za útokom stál.
To je v príkrom rozpore s vyjadreniami Roberta Fica v súvislosti s ransomvérovým útokom na kataster. Premiér už po pár dňoch verejne obvinil Ukrajinu – konkrétne hovoril o ukrajinskej stope.
Nie je jasné, odkiaľ toto podozrenie prichádza. Na Ukrajinu mohli byť vystopované napríklad niektoré IP adresy zo zachytenej dátovej prevádzky, to však neznamená, že útok skutočne prišiel z Ukrajiny.
Z praxe sa dá povedať, že žiadny z renomovaných bezpečnostných expertov či firiem by si s minimom dôkazov a bez týždne trvajúcej forenznej analýzy nedovolili pripísať útok konkrétnej krajine.
